HBAC
From A-Eskwiki
De HBAC-module van IPA bepaalt wie wat mag doen op welke machine. Hieronder een overzicht van de ingeschakelde regels.
Regel | Wie | Wat | Waar |
---|---|---|---|
Iedereen | SMTP, dovecot | vm-mail | |
Sysop | sysop | alles | overal |
WS+Extern | bestuur, cies, extern, mensjes | alles | workstations, vm-extern |
WWW | webcie | alles | vm-www, vm-www-debug |
HBAC en Apache
Naast authenticatie voor Apache kan mod_authnz_pam ook autorisatie verzorgen. Hiertoe moet er een HBAC-regel en PAM-service aangemaakt worden. Het aanmaken van de pam-service is triviaal, maak in /etc/pam.d/ een bestand aan met als naam de naam van de te configureren service en de volgende inhoud:
auth required pam_sss.so account required pam_sss.so
Voeg de zojuist aangemaakte service toe aan IPA en maak de HBAC-regel:
ipa hbacsvc-add $servicename # Let op dat $servicenaam hetzelfde is als de bestandsnaam van de PAM-service ipa hbacrule-add $rulename # Kies een mooie naam ipa hbacrule-add-service $rulename ipa hbacrule-add-host $rulename --hosts=$hostname ipa hbacrule-add-user $rulename [--users=$username, --groups=$groups]